宣曉帥 胡秋雨 宋洋洋 翟繼強(qiáng)

摘要：Honeyd是在誘騙黑客攻擊和采集信息方面應(yīng)用廣泛的低交互蜜罐框架。針對Honeyd只能進(jìn)行手工繁瑣配置的問題，使用Delphi可視化編程語言并借助SSH遠(yuǎn)程登錄客戶端工具putty和pscp，設(shè)計(jì)和實(shí)現(xiàn)了一個通用的Windows圖形界面的配置程序，方便用戶完成Windows，Linux兩種平臺下Honeyd虛擬蜜罐和虛擬網(wǎng)絡(luò)的創(chuàng)建、編輯、啟動和關(guān)閉。

關(guān)鍵詞：蜜罐；Honeyd；Honeyd模板；SSH

中圖分類號：TP393文獻(xiàn)標(biāo)志碼：A文章編號：1008-1739（2019）19-56-4

0引言

蜜罐是應(yīng)用于信息安全領(lǐng)域的信息系統(tǒng)資源，價值在于被探測、攻擊或者損害[1]。蜜罐技術(shù)可以用來主動吸引攻擊、迷惑和擾亂引攻擊者，從而保護(hù)有價值的網(wǎng)絡(luò)系統(tǒng)[2]。Honeyd是美國密歇根大學(xué)Niels Provos研發(fā)的低交互虛擬蜜罐框架，可以在一臺物理主機(jī)上模擬大量虛擬主機(jī)，通過配置一個文件為虛擬主機(jī)，定制各種服務(wù)，實(shí)現(xiàn)TCP/IP堆棧層模擬操作系統(tǒng)指紋，支持大型虛擬網(wǎng)絡(luò)拓?fù)浜痛鞵roxy功能，同時，還可以實(shí)現(xiàn)連接請求轉(zhuǎn)發(fā)給其他機(jī)器。因其功能強(qiáng)大已經(jīng)成為低交互蜜罐的代表，應(yīng)用非常廣泛[3]。

但是Honeyd只能通過手工逐行編寫配置文件實(shí)現(xiàn)虛擬蜜罐和虛擬網(wǎng)絡(luò)的配置，一旦需要配置的蜜罐數(shù)量和種類較多，手動配置的工作量就會比較大，非常繁瑣，而且容易出錯。Honeyd對配置文件沒有容錯性，只要有一個配置錯誤，Honeyd便無法運(yùn)行，使用起來非常不方便。因此本文設(shè)計(jì)和實(shí)現(xiàn)一個Windows平臺上運(yùn)行的Honeyd配置程序，可以方便地實(shí)現(xiàn)Windows，Linux兩種平臺下Honeyd的圖形化配置，用戶可以利用本程序構(gòu)建模板、創(chuàng)建和編輯蜜罐、動態(tài)啟動和關(guān)閉蜜罐。

1系統(tǒng)設(shè)計(jì)

Honeyd配置的核心在于2個方面：蜜罐模板的定制及基于模板創(chuàng)建蜜罐和蜜罐網(wǎng)絡(luò)。本軟件的主體界面和功能設(shè)計(jì)也基于此，如圖1所示，分為模板管理及網(wǎng)絡(luò)和主機(jī)設(shè)置2個主要模塊。

1.1模板管理模塊

模板是Honeyd虛擬蜜罐的主機(jī)配置信息集合[4]，只有準(zhǔn)確地配置了模板，才能使虛擬主機(jī)更接近真實(shí)主機(jī)的特征，更具欺騙性和交互性，包括創(chuàng)建和編輯模板、刪除模板兩部分。

（1）創(chuàng)建和編輯模板

模板設(shè)置包括模板名稱、操作系統(tǒng)指紋、使用的協(xié)議和相應(yīng)開放的端口，每個開放的端口可以指定虛擬腳本來模擬相應(yīng)的服務(wù)，如圖2所示。

操作系統(tǒng)指紋設(shè)置一定要準(zhǔn)確，因?yàn)镠oneyd將根據(jù)具體操作系統(tǒng)的協(xié)議棧特征對在虛擬蜜罐發(fā)出的每個數(shù)據(jù)包傳進(jìn)行個性化引擎處理，調(diào)整它的內(nèi)容，使其看起來像產(chǎn)生于虛擬操作系統(tǒng)的網(wǎng)絡(luò)堆棧。本系統(tǒng)中已經(jīng)提煉了近200個常用操作系統(tǒng)和路由器等協(xié)議棧的指紋特征供用戶選擇。

設(shè)置開放的端口一定要注意和相應(yīng)的操作系統(tǒng)匹配，如果配置錯誤，虛擬蜜罐將不再具有欺騙性。

（2）刪除模板

不再使用的模板可以從系統(tǒng)中刪除。

1.2網(wǎng)絡(luò)和主機(jī)設(shè)置模塊

創(chuàng)建好模板后，就可以使用現(xiàn)有模板創(chuàng)建多個虛擬蜜罐和復(fù)雜拓?fù)涞奶摂M網(wǎng)絡(luò)。

（1）創(chuàng)建虛擬主機(jī)

綁定IP地址，創(chuàng)建獨(dú)立的虛擬主機(jī)和虛擬網(wǎng)絡(luò)中的虛擬主機(jī)，如圖3所示。

（2）創(chuàng)建虛擬網(wǎng)絡(luò)

如圖4所示，可以設(shè)置各級路由器參數(shù)，如IP地址、父路由、可達(dá)網(wǎng)絡(luò)、延遲時間、丟失率和帶寬等信息，并將這些路由器組合成大型網(wǎng)絡(luò)拓?fù)洌糜谠龃蟮刂房臻g、吸引來自外部的真實(shí)攻擊、迷惑攻擊者、消耗攻擊者的資源及保護(hù)實(shí)際網(wǎng)絡(luò)。

2通信模塊的實(shí)現(xiàn)

本系統(tǒng)使用Delphi語言開發(fā)，界面交互良好，可移植性強(qiáng)，可以在目前所有主流Windows平臺運(yùn)行。針對Windows和Linux平臺的Honeyd配置的主界面基本相同，總計(jì)由9個Delphi窗體共同完成。

當(dāng)配置Windows平臺上運(yùn)行的Honeyd時，因?yàn)镠oneyd和本程序一般在同一臺機(jī)器上運(yùn)行，所以不需要主機(jī)間的通信環(huán)節(jié)，只要將配置文件正常生成，就可以直接運(yùn)行Honeyd。配置Linux平臺運(yùn)行的Honeyd與Windows平臺不同，Windows主機(jī)必須實(shí)現(xiàn)與Linux主機(jī)的通信傳輸。

本程序基于SSH22端口[5]實(shí)現(xiàn)文件傳輸和命令發(fā)送，借助第三方工具putty， pscp。

（1）網(wǎng)絡(luò)連接和文件傳輸

使用pscp將編輯完成的配置文件傳輸?shù)絃inux主機(jī)的相應(yīng)目錄中：

3測試

測試中，本程序運(yùn)行與一臺Windows 10_64位主機(jī)上，IP地址為192.168.179.6，Linux主機(jī)為Tiny_OS_For_Honeyd_10.x，IP地址為192.168. 179.129。

（1）模板和主機(jī)測試

首先創(chuàng)建好一個Windows_xp模板，然后使用已經(jīng)創(chuàng)建好的Windows_xp模板創(chuàng)建一個Honeyd虛擬主機(jī)，綁定IP地址192.168.179.10，創(chuàng)建完畢后可以在[檢查修改配置]中查看生成的配置文件，如圖5所示。

運(yùn)行Honeyd，如圖6所示，對虛擬蜜罐進(jìn)行ping操作可以看到echo reply回應(yīng)，連接蜜罐的虛擬開放端口FTP 21，可以看到虛擬蜜罐在利用指定的FTP腳本文件和用戶進(jìn)行交互。

（2）虛擬網(wǎng)絡(luò)測試

創(chuàng)建一個虛擬網(wǎng)絡(luò)，包括2個虛擬路由器，IP地址為10.0.0.100和10.0.1.100，分別對應(yīng)C類子網(wǎng)10.0.1.0/24和10.0.2.0/24，每個網(wǎng)段內(nèi)均勻綁定一些Windows_xp模板的虛擬蜜罐，設(shè)定路由器模板為Router_Cisco。

使用tracert命令對虛擬網(wǎng)絡(luò)和虛擬路由器測試，如圖7所示，可以清晰地看到所創(chuàng)建的虛擬網(wǎng)絡(luò)的路由拓?fù)洹?/p>

4結(jié)束語

本文針對Honeyd只能進(jìn)行手工繁瑣配置的問題，使用Delphi語言設(shè)計(jì)和實(shí)現(xiàn)了一個通用的Windows圖形程序。測試結(jié)果表明，可以方便地實(shí)現(xiàn)Windows， Linux兩種平臺下Honeyd虛擬蜜罐和虛擬網(wǎng)絡(luò)的創(chuàng)建、配置、編輯、啟動和關(guān)閉，更好地發(fā)揮Honeyd蜜罐框架的作用。

參考文獻(xiàn)

[1]史偉奇，程杰仁，唐湘滟，等.蜜罐技術(shù)及其應(yīng)用綜述[J].計(jì)算機(jī)工程與設(shè)計(jì)，2008，29（22）：5725-5728.

[2] Zhai Jiqiang， Wang Keqi. Research on Applications of Honeypot in Campus Network Security[C]//Proceedings of 2012 International Conference on Measurement， Information and Control， MIC 2012，2012：26-32.

[3] Niels Provos.A Virtual Honeypot Framework[C]// Proceedings of the 13th USENIX Security Symposium 2004，2004：1-14.

[4] Jun Wang， Jing Zeng. Construction of Large-Scale Honeynet Based on Honeyd[J].Procedia Engineering，2011，15： 3260-3264.

[5]閆梅.基于Linux平臺下SSH安全遠(yuǎn)程登錄的研究.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[J].2018（9）：17-19.